0 votes

Greg Searle avatar

Authentification client SSL avec des certificats non exportables sur Mac

Demandé el 20 de Juin, 2017
Quand la question a-t-elle été
490 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous utilisons le certificat SSO fourni par notre organisation pour l'authentification client SSL à partir de nos clients de bureau basés sur Java (Mac et Windows).

Il semble qu'avec Mac, le certificat est marqué avec une clé privée non exportable et que Java essaie d'exporter la clé à l'intérieur de la JVM pour l'authentification client SSL. Par conséquent, notre authentification par certificat ne fonctionne pas.

S'agit-il d'une limitation dans macOS où l'authentification client SSL ne fonctionne pas avec le certificat non exportable ou existe-t-il des solutions de contournement pour cela?

Demandé el 20 de Juin, 2017 par Greg Searle

Réponse

Trop de publicités?

1voto

Michael avatar
Michael Points 111

Une des bases de la sécurité d'un certificat (et de toute cryptographie asymétrique) est que la clé privée soit gardée secrète.

Pouvoir exporter une clé privée est une mauvaise utilisation de la sécurité; cela élargit la surface de fuite de cette clé privée. (idéalement, elle a été générée dans un TPM, et l'exportation n'est pas possible).

  • Exporter une clé privée revient à dire que vous voulez qu'une autre entité puisse vous imiter, ou...

  • D'accord, peut-être que l'autre entité n'avait pas les moyens de générer la paire de clés et que vous l'avez fait pour elle. Mais la confidentialité de cette autre entité est discutablement compromise, car il n'y a pas de preuve que vous n'avez pas conservé ou partagé la clé.

Répondu el 24 de Juin, 2017 par Michael (111 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X